几年前,在一本有关信息安全管理的书籍中读到了一位某大型跨国金融集团企业的首席信息安全官(CISO)发表了关于目前中国信息安全的现状的看法,他认为,目前中国的信息安全已经严重偏离了信息安全原本的重心(即企业业务),而几乎完全在信息技术(IT)领域死磕。

在今天的中国,不管是在企业层面,还是在学术层面(如大学信息安全研究以及培养计划),都几乎把信息安全局限在信息技术(IT)领域了,而完全脱离了信息安全重心,即企业业务和企业管理,这就必然导致投入的资源,以及所做的信息安全工作都是脱离了企业的实际,脱离企业的业务,最终不能给企业带来任何的有益价值。

信息安全本来是一个大风口,结果就是因为脱离了实际,不能给企业带来价值,最后才搞成了今天的这个局面。

今天很多做信息安全的开口闭口便谈0day,谈渗透,谈攻防之类的,完全没有去考虑的企业的业务,以及企业的实际情况,一股脑的招聘了一堆做信息技术的,买了一堆所谓的安全产品,买了一堆所谓的安全服务,最后都是说不清楚给企业带来了什么价值的,因为没有提前结合企业业务和企业实际进行规划和投入,所以基本上做的都是些脱离企业实际的无用功,最后当然就说不清楚做这些事情的意义何在了。

比如有些企业,信息化程度超级低的,没有信息系统,也没有自动化产线,没有IT部门,仅仅只是有一个负责维修办公电脑/办公网络的IT人员,像这类公司压根就不需要去考虑0day,渗透,攻防之类的,要是找这些人去这样的企业做信息安全,他们根本就不知道如何下手,如何开展信息安全的工作,这些人已经局限在信息技术(IT)这个领域了,但是这些信息化程度超级低的企业压根就不需要这些。